Журнал "Information Security/ Информационная безопасность" #6, 2022

роли (нарушителя, администратора, пользователя и т.п.), они разыгрывают определенные, заранее заготовленные сценарии. Цель таких учений в боль- шинстве случаев – отработка мероприя- тий плана реагирования на компьютер- ные инциденты и принятия мер по лик- видации последствий компьютерных атак. Организовывать и проводить такие киберучения лучше самостоятельно, тем более это прямо предписано субъекту КИИ нормативно-правовым актом ФСБ России. Однако ничто не мешает при- влечь к данному мероприятию в каче- стве консультанта внешнюю организа- цию 2 или даже отдельное физическое лицо. Привлечение отдельного физиче- ского лица (имеющего реальный опыт в данном вопросе) в таком случае гораздо эффективнее, так как финансово и орга- низационно менее затратно, а возможно вообще бесплатно, если это, к примеру, коллега из другой организации, с кото- рым давно поддерживаются хорошие отношения. l Командно-штабные. Участники делятся на различные команды, кото- рые в формате мозгового штурма вырабатывают решения различных нештатных ситуаций. Данные учения могут быть как внутренними, когда команды состоят из работников субъ- екта КИИ, так и отраслевыми, межот- раслевыми, региональными, межстра- новыми и т.д. Подобные виды команд- но-штабных учений в упрощенной форме можно встретить в рамках про- ведения различных конференций (форумов) по информационной без- опасности. Очевидно, что подобные киберучения, как правило, организует внешняя сторона, но если участники команды – это работники одного субъ- екта КИИ, то можно организовать такие учения и самостоятельно. l Антифишинговые тренировки – прово- дятся со всеми работниками организации, являющимися пользователями автома- тизированных систем. Цель данной тре- нировки: отработать действия пользова- теля при получении письма, содержащего подозрительные внешние ссылки или файлы, проверить реакцию и отработать взаимодействие пользователя с группой реагирования на инциденты информа- ционной безопасности (ГРИИБ). Как пра- вило, данный вид киберучений организует подразделение информационной без- опасности субъекта КИИ, реже – внешняя специализированная организация. Такие тренировки лучше проводить несколько раз в год для выработки навыков реаги- рования на подозрительные письма. Их лучше проводить своими силами, воз- можно с применением специализирован- ного программного обеспечения (техни- ческих средств). 2. Технические киберучения – проходят в формате отработки умений и/или навы- ков по отражению компьютерных атак и/или реагированию на инциденты, непо- средственно в информационной инфра- структуре. Наиболее распространенными на практике форматами являются: l Тренировки на киберполигоне. Кибер- полигон – это виртуальная среда, соз- данная для возможности имитации ком- пьютерных атак либо на типовую инфра- структуру, из которой можно выбрать наиболее близкую к реально существую- щей инфраструктуре компании, либо на инфраструктуру, копирующую реально существующую инфраструктуру органи- зации (цифровой двойник). В рамках данного вида учений имитируются раз- личные компьютерные атаки, что позво- ляет понять, как происходит атака и какие основные способы защиты от нее (если учения проводятся на типовой инфраструктуре); выявить конкретные уязвимости существующей инфраструк- туры и выработать мероприятия для их нейтрализации (если учения проводятся на цифровом двойнике); отработать уме- ния и навыки противодействия компью- терной атаке и/или реагирования на инцидент, отработать (проверить) меха- низмы взаимодействия и совместной работы участников киберучений. Как правило, развертывание полигона для организации киберучений – это отдельный сложный и трудоемкий про- ект. Ряд специализированных компаний имеют свои киберполигоны и готовы сдавать их в аренду, предоставляя в довесок услуги по организации и прове- дению киберучений. Однако если у ком- пании инфраструктура небольшая и/или для достижения целей достаточно отра- ботки мероприятий в типовой инфра- структуре, то подобный киберполигон можно создать самостоятельно. Напри- мер, "поднять" виртуальный стенд в вир- туальной среде EVE-NG, которого хватит для моделирования и анализа сценариев компьютерной атаки в типовых неболь- ших инфраструктурах. Больших трудо- затрат и вычислительных мощностей для развертывания и функционирования такого стенда не требуется. l Red Teaming – вариант киберучений, когда ГРИИБ субъекта КИИ противостоит команде независимых аудиторов, моде- лирующих деятельность нарушителя. При этом сотрудники ГРИИБ не знают, что проводятся киберучения. Цель таких киберучений – отработка действий ГРИИБ в случае компьютерной атаки на реальную информационную инфраструк- туру организации. В ходе реализации данной цели решаются такие задачи, как выявление уязвимостей инфраструк- туры и выработка рекомендаций по их устранению (в этом Red Teaming очень напоминает пентест), оценка эффектив- ности действий ГРИИБ по выявлению компьютерной атаки и ее сдерживанию, отработка взаимодействия ГРИИБ с под- разделениями, эксплуатирующими и обеспечивающими функционирование объектов КИИ. В соответствии с общепринятой мето- дологией в такого рода киберучениях всегда принимают участие три команды: – "красная" команда (Red Team) – аудиторы, моделирующие деятельность нарушителя. Собственно, от этой коман- ды и появилось название данного вида киберучений; – "синяя" команда (Blue Team) – ГРИИБ; – "белая" команда (White Team) – менеджер (управленец), который коор- динирует и контролирует проведение киберучений. В отдельных вариантах киберучений могут принимать участие и другие виды команд, имеющие цветовые обозначе- ния: "пурпурная" команда (Purple Team), "оранжевая" команда (Orange Team), "желтая" команда (Yellow Team) и "зеле- ная" команда (Green Team). Но на прак- тике наличие других цветовых команд встречается крайне редко. Исходя из цели проведения такого вида киберучений очевидно, что роль "красной" команды должны играть работ- ники сторонней организации, это может быть как специализированная органи- зация, так и другой субъект КИИ (коллеги по "цеху"). Кроме того, при наличии рас- пределенной структуры службы инфор- мационной безопасности субъекта КИИ (когда есть несколько территориально удаленных друг от друга подразделений информационной безопасности) можно провести и внутренние киберучения в формате Red Team. Однако в такой ситуации увеличивается вероятность раскрытия целей и замысла "синей" команде. 3. Смешанные. Большинство кибер- учений различного масштаба (внутрен- ние, отраслевые, межотраслевые и т.п.), проводимые как непосредственно субъ- ектом КИИ, так и внешними по отноше- нию к нему организациями (органами власти), как правило, имеют смешанный характер и сочетают в себе различные элементы организационных и техниче- ских киберучений. В завершение отмечу такой популяр- ный в нашей стране формат кибе- ручений, как СTF (Capture the Flag). Как правило, это командные кибер- учения, где командам предлагаются различные задания, направленные как на решение кейсов, так и на тестиро- вание защищенности автоматизиро- ванных систем. l • 15 Защита объектов кии www.itsec.ru 2 Здесь и далее в рамках статьи речь идет о специализированных организациях, выполняющих работы (оказывающих услуги) в сфере информационной безопасности, лицензиатах ФСТЭК/ФСБ России. Ваше мнение и вопросы присылайте по адресу is@groteck.ru